카스퍼스키 랩과 B2B International이 공동으로 최근에 수행한 2013년 글로벌 IT 보안 위험 조사에 따르면, 대기업을 상대로 한 표적 공격이 성공했을 경우 그 피해액이 최대 27억 원에 이르는 것으로 밝혔다.
 
표적 공격은 가장 위험한 종류의 사이버 보안위협 중에 하나이며, 전문 해커가 공격의 준비와 실행에 참여하게 된다. 또한, 상당한 자금과 광범위한 IT 지식을 그 바탕으로 하고 있다. 이러한 공격의 최종 목표는 일반적으로 특정 기업의 기밀 정보이기 때문에 기밀 데이터의 유출은 유/무형의 상당한 손실로 직결될 수 있다.
 
이러한 손실은 얼마나 될까? 수집된 데이터에 따르면, 건 당 평균 피해액은 약 27억 원이었으며, 이 중 약 24억 원은 기밀 데이터 유출, 사업 중단, 소송, 복구에 따른 직접 비용이고 나머지 약 3억 원은 재발 방지를 위한 직원 채용, 교육, 시스템 업데이트 비용 등이었다.
 
중소기업(SMB)에 대한 표적 공격으로 인한 회사의 손실은 건 당 약 1억 원으로 대기업에 비해 낮지만, 회사의 규모(약 100-200명)를 고려하면 그 충격은 상당할 것이다. 1억 원 중 약 7천만 원은 사고 처리를 위한 직접 비용이었으며, 나머지는 재발 방지 비용이었다.
 
표적 공격이 가장 높은 금융 비용 지출을 초래하지만 그것이 유일한 공격 유형은 아니다. 실제로 이번 조사에 응답한 이들의 약 9%만이 지난 1년 동안 표적 공격에 노출되었다고 밝혔으며 훨씬 높은 비율인 24%로 네트워크 인프라가 해킹되었었다고 말했다.
 
대기업의 경우 네트워크 인프라 공격으로 18.6억 원, SMB는 약 8천만 원의 손실이 발생했다고 밝혀 표적 공격에 이어 두 번째로 피해액이 큰 공격 유형으로 나타났다. 기업 데이터를 고의적으로 유출한 경우는 19%였으며 금융 손실은 평균 11억 원, SMB는 6 천만 원으로 조사됐다.
 
마지막으로 소프트웨어 취약점을 악용한 공격은 조사 대상 기업의 39%에서 발생했으며 대기업은 평균 7.3억 원이었고 중견•중소기업은 7천만 원 정도였다.
 
카스퍼스키 랩 관계자는 “표적 공격은 그 구조가 매우 복잡하다. 해커가 공격 대상 기업의 IT 인프라에서 약점을 찾고 실제 공격을 실행하는데 필요한 프로그램을 설치하는 등 오랜 준비 기간이 필요하다”며 “일반적인 안티 바이러스 솔루션이 악성 코드에 의한 보안위협을 처리할 수 있지만, 이것만으로 이러한 표적 공격의 위협과 싸우기는 버겁다. 최신의 사전 방역 및 탐지 기술을 통합한 기업용 솔루션을 사용하면 표적 공격뿐만 아니라 다른 모든 IT 보안위협으로부터 회사를 보호할 수 있을 것”이라고 밝혔다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com